Microsoft 보안 경고에서 인시던트를 자동으로 생성

Microsoft Sentinel에 연결된 Microsoft 보안 솔루션(예: 클라우드용 Microsoft Defender 앱, Microsoft Defender for Identity)에서 트리거된 경고는 Microsoft Sentinel에서 인시던트를 자동으로 만들지 않습니다. 기본적으로 Microsoft 솔루션을 Microsoft Sentinel에 연결하는 경우 해당 서비스에서 생성되는 모든 경고가 수집되어 Microsoft Sentinel의 작업 영역에 있는 SecurityAlert 테이블에 저장됩니다. 그러면 Microsoft Sentinel에 수집하는 다른 모든 원시 데이터처럼 해당 데이터를 사용할 수 있습니다.

이 문서의 지침을 따르면 연결된 Microsoft 보안 솔루션에서 경고가 트리거될 때마다 인시던트를 자동으로 만들도록 Microsoft Sentinel을 쉽게 구성할 수 있습니다.

Important

이 문서는 다음과 같은 경우 적용되지 않습니다.

• Microsoft Defender XDR 인시던트 통합이 사용하도록 설정된 경우 또는
• Microsoft Sentinel이 통합 보안 운영 플랫폼에 온보딩된 경우.

이러한 시나리오에서 Microsoft Defender XDR은 Microsoft 서비스 생성된 경고에서 인시던트(incidents)를 만듭니다.

필수 조건

Microsoft Sentinel의 콘텐츠 허브에서 적절한 솔루션을 설치하고 데이터 커넥터를 설정하여 보안 솔루션을 연결합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 및 솔루션 검색 및 관리 및 Microsoft Sentinel 데이터 커넥터를 참조하세요.

데이터 커넥터에서 자동 인시던트 생성 사용

Microsoft 보안 솔루션에서 생성된 경고에서 인시던트가 자동으로 생성되는 가장 직접적인 방법은 인시던트가 생성되도록 솔루션의 데이터 커넥터를 구성하는 것입니다.

1. Microsoft 보안 솔루션 데이터 원본을 연결합니다.

   

2. 인시던트 만들기 – 권장에서 연결된 보안 서비스에서 생성된 경고에서 자동으로 인시던트가 생성되는 기본 분석 규칙을 사용하도록 설정하려면 사용을 선택합니다. 그런 다음, Analytics 및 활성 규칙에서 이 규칙을 편집할 수 있습니다.

   Important

   이 섹션이 표시된 대로 표시되지 않으면 Microsoft Defender XDR 커넥터에서 인시던트 통합을 사용하도록 설정했거나 Microsoft Defender 포털의 통합 보안 운영 플랫폼에 Microsoft Sentinel을 온보딩했을 가능성이 큽니다.

   두 경우 모두 Microsoft Sentinel 대신 Microsoft Defender 상관 관계 엔진에서 인시던트가 생성되므로 이 문서는 사용자 환경에 적용되지 않습니다.

Microsoft 보안 템플릿에서 인시던트 만들기 규칙 만들기

Microsoft Sentinel은 Microsoft 보안 규칙을 만들기 위해 준비된 규칙 템플릿을 제공합니다. 각 Microsoft 원본 솔루션에는 고유한 템플릿이 있습니다. 예를 들어 엔드포인트용 Microsoft Defender 1개, 클라우드용 Microsoft Defender 등입니다. 인시던트를 자동으로 만들려는 환경의 솔루션에 해당하는 각 템플릿에서 규칙을 만듭니다. 인시던트가 발생할 경고를 필터링하기 위한 보다 구체적인 옵션을 정의하도록 규칙을 수정합니다. 예를 들어 Microsoft Defender for Identity의 심각도가 높은 경고에서만 Microsoft Sentinel 인시던트만 자동으로 만들도록 선택할 수 있습니다.

1. Microsoft Sentinel 탐색 메뉴의 구성에서 분석을 선택합니다.

2. 규칙 템플릿 탭을 선택하면 분석 규칙 템플릿을 모두 볼 수 있습니다. 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동합니다.

   

3. Microsoft 보안 규칙 유형의 목록을 필터링하여 Microsoft 경고에서 인시던트 만들기에 대한 분석 규칙 템플릿을 확인합니다.

   

4. 인시던트 만들기를 원하는 경고 원본에 대한 규칙 템플릿을 선택합니다. 그런 다음 세부 정보 창에서 규칙 만들기를 선택합니다.

   

5. 경고 심각도 또는 경고 이름에 포함된 텍스트로 인시던트가 생성되는 경고를 필터링하여 규칙 세부 정보를 수정합니다.

   예를 들어 Microsoft 보안 서비스 필드에서 Microsoft Defender for Identity를 선택하고 심각도 기준 필터 필드에서 [높음]을 선택하면 심각도가 높은 보안 경고만 Microsoft Sentinel에서 인시던트가 자동으로 생성됩니다.

   

6. 다른 유형의 분석 규칙과 마찬가지로 자동화된 응답 탭을 선택하여 이 규칙에서 인시던트가 생성될 때 실행되는 자동화 규칙을 정의합니다.

처음부터 인시던트 만들기 규칙 만들기

다른 Microsoft 보안 서비스의 경고를 필터링하는 새 Microsoft 보안 규칙을 만들 수도 있습니다. 분석 페이지에서 Microsoft 인시던트 만들기 규칙 만들기 > 를 선택합니다.

Microsoft 보안 서비스 유형별로 둘 이상의 Microsoft Security 분석 규칙을 만들 수 있습니다. 서로를 제외하는 각 규칙에 필터를 적용하는 경우 중복 인시던트가 생성되지 않습니다.

다음 단계

• Microsoft Sentinel을 시작하려면 Microsoft Azure에 대한 구독이 필요합니다. 구독이 없는 경우 무료 평가판을 등록할 수 있습니다.
• Microsoft Sentinel에 데이터를 온보딩하고 데이터 및 잠재적 위협을 확인하는 방법을 알아봅니다.